这段时间为一用户进行网络升级,把一些过程记录下来供大家参考。
用户的情况:一台做为总出口的思科pix535防火墙负载过高,高峰时系统资源达到百分之八十的利用率,现在需要一台ASA5550进行分流。
TOP图:核心交换机68--〉计费网关--〉PIX535--〉48交换机--〉移动
--〉政府网
--〉用户网站
需要考虑的问题:城市热点的计费网关虽然做了透明模式,但是在其上需要配置到防火墙的网关,也需要回指路由,这样的话就不可能让两台
防火墙直接并联做流量分担。
我提出的解决方法:
方案一、让热点的计费网关做旁路,这样的话热点的设备以后不可能成为流量瓶颈。
前提条件需要交换机支持,需要厂家工程师协助,需要客户部协助.
方案二、改变网络拓扑结构,
TOP图:核心交换机68--〉计费网关--〉3750G--〉PIX535--〉3750G--〉移动
--〉ASA5550-〉 --〉nt500-政府网
--〉nt100-用户网站
3750配置:
!
interface GigabitEthernet1/0/1
no switchport
ip address 172.16.1.2 255.255.255.252
interface GigabitEthernet1/0/11
no switchport
ip address 172.16.1.6 255.255.255.252
interface Vlan1
ip address 10.130.1.1 255.255.255.240
ip policy route-map test
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.1.1 name pix535
ip route 0.0.0.0 0.0.0.0 172.16.1.5 name asa5550
ip route 10.0.0.0 255.0.0.0 10.130.1.3
ip route 192.168.0.0 255.255.255.0 10.130.1.3
ip http server
ip http secure-server
!
!
ip access-list extended management
permit ip host 172.16.1.1 any
ip access-list extended asa
permit ip 10.131.0.0 0.0.255.255 any
ip access-list extended pix535
permit ip 10.0.0.0 0.255.255.255 any
permit ip 192.168.0.0 0.0.0.255 any
!
access-list 110 permit ip host 10.130.0.136 any
access-list 110 permit ip host 192.168.0.12 any
route-map test permit 5
match ip address management //让网关机器可以访问所有的设备,不然有ASA与交换机都管理不了。
!
route-map test permit 10
match ip address asa
set ip next-hop 172.16.1.5 172.16.1.1 //链路备份
!
route-map test permit 20
match ip address pix535
set ip next-hop 172.16.1.5 172.16.1.1
需要注意的问题:
1、首先3750G为E版软件。
2、需要敲入命令sdm prefer routing 后重启来改变资源优化模式,使其支持策略路由,不然会有以下提示内容。
PLATFORM_PBR-4-SDM_MISMATCH: [chars] requires sdm template routing
3、策略动作不能使用set interface GigabitEthernet1/0/1 GigabitEthernet1/0/11,不然会提示
PLATFORM_PBR-3-UNSUPPORTED_RMAP: Route-map [chars] not supported for Policy-Based Routing
应该是思科故意让它不能用的,要不路由器咋卖阿,并且它还不支持链路检测。
IP卡
狗仔卡
发表于 2008-4-9 14:34:22
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2008-4-15 14:59:49